電子前線基金會：中國利用未加密網站綁架使用者瀏覽器攻擊GitHub

儘管中國迴避了是否主導攻擊程式碼代管網站GitHub的問題，但電子前線基金會（Electronic Frontier Foundation, EFF）在本周抨擊中國利用國家的網路架構來攻擊政治上的異議份子，把一般使用者的瀏覽器變成阻斷服務工具。EFF並呼籲全球網站應使用HTTPS加密協定以避免淪為相關攻擊的媒介。

長期觀察與批評中國網路審查機制的Greatfire.org與知名程式碼代管網站GitHub相繼在今年3月17日與26日間遭受大規模的分散式阻斷服務攻擊（DDoS）。其中GitHub受到攻擊的兩個專案分別是GreatFire與CN-NYTimes，都是用來讓中國民眾得以造訪被中國網路防火牆封鎖的網站。

由於Greatfire.org吸引的多是關心中國局勢的使用者，被駭並未引起太大的騷動。然而GitHub卻是全球知名的程式碼代管網站，因此GitHub受到有史以來最嚴重的DDoS攻擊不但惹來了全球科技社群的注意，也佔據了大篇幅的媒體版面，還讓美國總統歐巴馬發布行政命令，宣稱近來來自海外的惡意網路行動危害了美國的安全、外交政策，與經濟，因而將其歸類為必須嚴加防範的國家緊急事故。

根據資安研究機構Netressec的分析，駭客在存在於各大網站上的百度分析工具中嵌入了惡意程式，該JavaScript程式會指使瀏覽器不斷造訪GitHub上的兩個專案。但並非中國境內所有的百度分析工具都挾帶惡意程式，估計只有1%的比例受到影響。

EFF則指出，中國干預了百度伺服器及出口中國的流量，促成此事的主要原因之一是百度的分析工具被置放在沒有HTTPS加密保護的網站上，使得位於使用者與網站伺服器中間的任何人都能修改傳輸內容。網站應該全面採用HTTPS協定。其實就算這樣，中國還是可以有其他辦法執行攻擊，例如脅迫服務供應商參與攻擊行動。

EFF認為，要解決相關問題必須同時從政治與技術面著手，網站最好自己保管公用程式函式庫並部署HTTPS，提高惡意程式入侵的門檻。再者民眾應支持諸如Manila Principles等提倡建立全球網路通訊正式規範的計畫，以限制各國政府恣意綁架使用者瀏覽器並用來審查全球網路的行為。（編譯/陳曉莉）